Уже есть учетная запись?

  •   Персонализированная информация
  •   Ваши продукты и поддержка

Нужна учетная запись?

Создать учетную запись

Как настроить межсетевой экран за шесть шагов

Чтобы надежно защитить свою сеть, просто следуйте лучшим практикам.

Вы научились настраивать новый беспроводной маршрутизатор, и теперь готовы к следующему упражнению: настройке межсетевого экрана. Перехватило дыхание? Звучит пугающе, мы понимаем. Но не волнуйтесь: мы разложили всю процедуру на шесть простых шагов. Это поможет покорить вершину под названием «Сетевая безопасность». Начнем...

Шаг 1. Защитите свой межсетевой экран (да, мы знаем, что это кажется лишним)

Административный доступ к межсетевому экрану должен быть ограниченным и предоставлен только тем, кому вы доверяете. Чтобы предотвратить проникновение потенциальных злоумышленников, убедитесь, что ваш межсетевой экран защищен хотя бы одним из следующих действий по настройке его конфигурации:

  • Обновите микропрограммное обеспечение межсетевого экрана до последней версии, рекомендованной поставщиком.
  • Удалите, отключите или переименуйте все учетные записи пользователей, настроенные по умолчанию, а также измените все заданные по умолчанию пароли. Убедитесь, что вы используете только сложные и безопасные пароли.
  • Если межсетевым экраном будут управлять несколько человек, создайте дополнительные учетные записи с ограниченными правами, которые соответствуют обязанностям пользователей. Никогда не используйте общие учетные записи пользователей. Отслеживайте внесенные изменения: кто их внес и почему. Такой контроль способствует должной осмотрительности при внесении изменений.
  • Ограничьте места, из которых люди могут вносить изменения. Так вы уменьшите поверхность атаки, то есть разрешите внесение изменений только из доверенных подсетей внутри вашей организации.

Шаг 2. Разработайте структуру зон и схему IP-адресов межсетевого экрана (поднимать тяжести не потребуется)

Чтобы наилучшим образом защитить активы своей сети, вы должны сначала идентифицировать их. Спланируйте структуру, в которой активы сгруппированы на основе бизнес-потребностей, потребностей приложений, уровней конфиденциальности и функций активов, и объединены в сети (или зоны). Не идите легким путем, и не ограничивайтесь только одной плоской сетью. То, что легко для вас, легко и для злоумышленников!

Все ваши серверы, предоставляющие веб-сервисы (т. е. сервер электронной почты, VPN), должны быть помещены в выделенную зону, ограничивающую входящий трафик из Интернета. Такую зону часто называют демилитаризованной зоной (DMZ). Кроме того, серверы, к которым нет прямого доступа из Интернета, следует разместить во внутренних серверных зонах. В эти зоны обычно помещают серверы баз данных, рабочие станции, любые устройства, используемые в точках продаж (POS), или устройства голосовой связи поверх IP (VoIP).

Если вы используете IP версии 4, то для всех ваших внутренних сетей нужно использовать внутренние IP-адреса. Функцию преобразования сетевых адресов (NAT) следует настроить таким образом, чтобы внутренние устройства могли при необходимости обмениваться данными через Интернет.

После разработки структуры зон сети и создания соответствующей схемы IP- адресов, можно перейти к созданию зон межсетевого экрана и их назначению основным и подчиненным интерфейсам межсетевого экрана. При создании сетевой инфраструктуры коммутаторы, поддерживающие виртуальные локальные сети (VLAN), должны использоваться для поддержания разделения между сетями на уровне 2.

Шаг 3. Настройте списки контроля доступа (это ваш праздник — приглашайте, кого хотите)

После создания сетевых зон и назначения их интерфейсам можно приступить к созданию правил межсетевого экрана, называемых списками контроля доступа (ACL). Эти списки устанавливают, для какого трафика требуется разрешение на вход и выход из каждой зоны. ACL определяют разрешенные взаимодействия между компонентами сети и блокируют все остальные связи. ACL применяются к каждому основному или подчиненному интерфейсу межсетевого экрана, и должны как можно более точно определять IP-адреса источников и/или адресатов, а также номера портов, когда это возможно. Чтобы отфильтровать неутвержденный трафик, в конце каждого ACL создайте правило «запретить все». Затем примените входящие и исходящие ACL к каждому интерфейсу. Если это возможно, запретите общий доступ к интерфейсам администрирования межсетевого экрана. Помните, что на этом этапе необходима максимальная детализация: следует не только проверить работоспособность используемых приложений, но и убедиться в том, что запрещено все, что не должно быть разрешено. Обязательно оцените способность межсетевого экрана управлять потоками уровня следующего поколения: может ли он блокировать трафик на основе веб-категорий? Можно ли включить функцию расширенного сканирования файлов? Реализован ли в нем определенный уровень функций предотвращения вторжений (IPS)? Вы заплатили за расширенные функции, поэтому не забудьте сделать следующие шаги.

Шаг 4. Настройте другие службы межсетевого экрана и ведение журнала (свою коллекцию отнюдь не виниловых пластинок)

При желании разрешите межсетевому экрану выполнять функции сервера протокола динамической настройки узлов сети (DHCP), сервера протокола сетевого времени (NTP), системы предотвращения вторжений (IPS) и т. д. Отключите все службы, которые вы не собираетесь использовать.

Для выполнения требований Стандарта безопасности данных индустрии платежных карт (PCI DSS) настройте на межсетевом экране отправку отчетов на свой сервер ведения журнала и убедитесь, что в них включено достаточно деталей для удовлетворения пп. 10.2–10.3 требований PCI DSS.

Шаг 5. Проверьте конфигурацию межсетевого экрана (не беспокойтесь, это несложный тест)

Во-первых, убедитесь, что ваш межсетевой экран блокирует трафик, который должен быть заблокирован в соответствии со списками контроля доступа. Также необходимо выполнить сканирование на наличие уязвимостей и тестирование на возможность проникновения. Обязательно сохраняйте резервную копию конфигурации межсетевого экрана на случай каких-либо сбоев. После завершения всех проверок ваш межсетевой экран будет готов к работе. ОБЯЗАТЕЛЬНО ПРОВЕРЬТЕ процедуру восстановления конфигурации. Перед внесением каких-либо изменений задокументируйте и протестируйте процедуру восстановления.

Шаг 6. Управление межсетевым экраном (если не поддерживать огонь, он погаснет)

После настройки и запуска межсетевого экрана необходимо поддерживать его работу в оптимальном режиме. Обязательно обновляйте микропрограммное обеспечение, проверяйте журналы, проводите сканирование уязвимостей и пересматривайте правила конфигурации каждые шесть месяцев.

Дальнейшие шаги

Итак, вы это сделали! Если вы зашли так далеко, то теперь являетесь экспертом по псевдосетевой безопасности. Если вы хотите получить дополнительные рекомендации или настроить другие устройства, посетите наше сообщество поддержки малого бизнеса. Там вы найдете ответы на распространенные вопросы и пообщаетесь с людьми, которые работают в похожих компаниях и сталкиваются с аналогичными ИТ-проблемами.

Хотите узнать больше?

Безопасность

Наши материалы помогут вам получить более полное представление о ситуации в сфере безопасности и выбрать технологии, которые защитят вашу компанию.

Совместная работа

Эти инструменты и статьи помогут выбрать те решения для связи, которые позволят развивать ваш бизнес.

Сетевые технологии

Узнайте, как правильное проектирование сети и поддержка ее работы помогут вашей компании достичь успеха.

 

Информационный центр

Здесь вы найдете инструкции, контрольные списки и советы, которые помогут вам соответствовать самым современным требованиям и успешно развивать свой бизнес.